image

Censys: slechts zevenduizend servers met OpenSSL 3.0 op internet

dinsdag 1 november 2022, 10:03 door Redactie, 10 reacties

Vanmiddag verschijnt er een belangrijke beveiligingsupdate voor OpenSSL 3.0, maar het aantal kwetsbare servers is zeer beperkt, zo stelt securitybedrijf Censys. Het bedrijf vond slechts zevenduizend servers die van OpenSSL 3.0 gebruikmaken, waarvan 167 in Nederland. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen, maar het wordt ook binnen allerlei applicaties gebruikt.

Kritieke kwetsbaarheden worden zelden in de software gevonden. Het is pas de tweede keer dat er een kritieke beveiligingsupdate verschijnt. De vorige keer was in 2016. Via dergelijke beveiligingslekken kunnen aanvallers bijvoorbeeld servers overnemen of de private keys van de server stelen, waarmee versleuteld verkeer is te ontsleutelen. Daardoor kunnen aanvallers allerlei gevoelige gegevens buitmaken.

Vorig jaar september kwam OpenSSL met versie 3.0, de eerste grote release in drie jaar tijd. De meeste organisaties werken echter nog met OpenSSL 1.1.x, die niet kwetsbaar is. Censys ontdekte op internet bijna 1,8 miljoen servers die één of meerdere services draaien die van OpenSSL gebruikmaken. Slechts 7000 daarvan (0,4 procent) draaien OpenSSL. In Nederland werden 167 servers aangetroffen. Het gaat dan met name om OpenSSL versies 3.0.1 en 3.0.5.

Reacties (10)
01-11-2022, 10:10 door Anoniem
Niets aan de hand dus.
01-11-2022, 10:33 door Anoniem
Weet iemand hoe je aan de buitenkant kan zien welke OpenSSL versie een server draait? Zijn hier tooltjes voor?
01-11-2022, 11:04 door Anoniem
Door Anoniem: Weet iemand hoe je aan de buitenkant kan zien welke OpenSSL versie een server draait? Zijn hier tooltjes voor?
1. Apache HTTPD servers willen de OpenSSL versie nog wel eens in de 'Server:' header of pagina footer plaatsen. Dit is hoe de Censys query werkt. Daarmee is het ook een onderschatting van het aantal systemen omdat niet alle servers het versienummer op deze manier prijsgeven.
2. Mogelijk kunnen JA3S hashes gebruikt worden om OpenSSL te detecteren, zie https://engineering.salesforce.com/tls-fingerprinting-with-ja3-and-ja3s-247362855967/ en https://search.censys.io/search/report?resource=hosts&q=services.software.uniform_resource_identifier%3D%22cpe%3A2.3%3Aa%3A*%3Aopenssl%3A3.*%22&virtual_hosts=EXCLUDE&field=services.tls.ja3s&num_buckets=50. Maar daarin is niet exact af te leiden welke OpenSSL versie gebruikt wordt.
3. Je zou op basis van OS versies kunnen afleiden of OpenSSL 3.0 gebruikt wordt. Dit is echter gevoelig voor interpretatie omdat de exacte versie van OpenSSL daaruit niet af te leiden is.
01-11-2022, 11:17 door Anoniem
Door Anoniem: Weet iemand hoe je aan de buitenkant kan zien welke OpenSSL versie een server draait? Zijn hier tooltjes voor?

Voor zover ik weet niet.
Maar je kunt wel services / OS discovery doen met bijv. nmap of shodan.
Die resultaten kun je weer tegen bijv. dit lijstje aanhouden: https://github.com/NCSC-NL/OpenSSL-2022/tree/main/software
01-11-2022, 11:53 door Anoniem
ach weer een poort scan snuffel groepje die en gevonden getal tot nieuws item poneert.
01-11-2022, 12:21 door Anoniem
Door Anoniem: Weet iemand hoe je aan de buitenkant kan zien welke OpenSSL versie een server draait? Zijn hier tooltjes voor?

openssl version
01-11-2022, 12:29 door Anoniem
Cisco, F5, Fortinet, etc hebben het nog in onderzoek, idem node.js
Kan nog steeds erg groot worden.
01-11-2022, 12:31 door Anoniem
Dit is een totaal onzin bericht. Niet te veel aandacht aan schenken.
01-11-2022, 15:37 door Anoniem
Door Anoniem:
Door Anoniem: Weet iemand hoe je aan de buitenkant kan zien welke OpenSSL versie een server draait? Zijn hier tooltjes voor?

openssl version

Ja, je snapt de vraag echt. :P Op het moment dat je dat kunt heb je de vulnerability niet meer nodig. Geen enkele vulnerability trouwens.
01-11-2022, 16:10 door Anoniem
Door Anoniem: Cisco, F5, Fortinet, etc hebben het nog in onderzoek, idem node.js
Kan nog steeds erg groot worden.
Niet bepaald de meest betrouwbare techbedrijven. Het kan daarom erg groot ZIJN. Het is nu bekokstoven hoe dit 'naar buiten' wordt gecommuniceerd. Met behoud van backdoors uiteraard...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.